Сабж http://opticode.coseinc.com/

х86 обфусцированый код (NASM нотация) -> трансляция в Low Level Virtual Machine Intermediate Representation (LLVM IR) -> LLVM оптимизация -> результирующий деобфусцированый код

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: DimitarSerg, [Nomad]

mov [esp], esi
mov ecx, 0BAF95FA2h
mov ebx, 830D560h
mov [esp+4], ecx
lea eax, [ebx-0E8F0h]
call eax

и сайт даун))

Error 500: Internal Server Error
Sorry, the requested URL 'http://opticode.coseinc.com/deob' caused an error:

Internal Server Error

| Сообщение посчитали полезным: DimitarSerg, deniskore, Dr0p, ZaZa

Попробовал куски кода с мусором, генерируемых Morphine - тоже не порадовало
Простые конструкции конечно разбирает довольно хорошо.
Сама идея очень интересна.

-----
ds

| Сообщение посчитали полезным:

reversecode пишет:
и сайт даун))

без последнего CALL отработал

mov eax, ESI
mov ecx, ESP
mov DWORD PTR [ecx], eax
mov DWORD PTR [ecx+0x4], 0xbaf95fa2
mov EAX, 0x82fec70
mov ECX, 0xbaf95fa2
mov EBX, 0x830d560

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Да школьники то всё играются в интернет.
Та же самая фигня, что и "Online Obfuscator 1.0" - но тот хоть кое-как работает,
потому, что задача прямая - в разы проще, чем обратная.
IMHO.

(Аналгично тому,что дизассемблировать код - в разы проще, чем ассемблировать его из текста).

| Сообщение посчитали полезным:

а кто игрался virtual deobfuscator ? http://www.hexeffect.com/virtual_deob.html
а то чет руки не доходят
по доке они даже vmp чето там победили местами

| Сообщение посчитали полезным:

не смотря на глюки, я считаю что идея перспективная. Сам уже давно об этом задумывался, только руки не доходят.
У LLVM неплохой оптимизатор.
Все что требуется сделать - нормальный парсинг нативного x86/x64 в IR код.
Для ARM-а, уже запилен и лежал раньше на гугл.коде.

Выхлоп из IR в бинарный код уже и так по сути есть в компиляторах.

| Сообщение посчитали полезным:

Veliant пишет:
парсинг нативного x86/x64 в IR код

Dagger: decompilation to LLVM IR

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Veliant
Лет 10 назад эту тему обсуждали на ренге. В итоге получилось как всегда.

-----
старый пень

| Сообщение посчитали полезным:

Не такие уж там и школьники )

Nguyen Anh Quynh, автор доклада «Opticode: machine code deobfuscation for malware analysts», давал дельные практические советы по оптимизации и деобфускации кода. Доклад крайне конкретный для реверсеров и тех, кто хотя бы немного любит математику Детали можно найти здесь:
--> Link <--

взято отсюда

| Сообщение посчитали полезным:

Класс. 9-й.

Наверняка они там такой вариант предусмотрели (должны были бы...), но и то получается фигня:

------------------------------------------------
Source obfuscated code:
~~~~~~~~~~~~~~~~
push ebx
lea ebx,[eax+eax*8] ;;.....ebx=eax*9
lea eax,[eax+eax*2] ;;.....eax=eax*3
shl eax,05H ;;....................eax=eax*32 (итого eax=eax*96)
sub eax,ebx ;;....................eax=eax*96-eax*9=eax*87 = eax*0x57
pop ebx

REALLY DEOBFUSCATED CODE:
~~~~~~~~~~~~~~~~~~~~~
imul eax,eax, 0x57

Вместо этого мы видим:

Result "deobfuscated" code (from http://opticode.coseinc.com/):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
mov eax, ESP
mov ecx, EBX
mov DWORD PTR [eax-0x4], ecx
imul eax, EAX
mov EAX, eax
---------------------------------------------
Толку от такой "деобфускации"?

Универсальный деобфускатор это нонсенс. Переливание из пустого в порожнее.
Поняв алгоритм конкретной обфускации, можно как-то пытаться её раскрутить.
Я уж не говорю, что при реальной обфускации ещё и контролируется целостность кода на каждом этапе.
В общем, бесполезная то затея.
[offtop]
...а кто-то же оплачивает этот полёт мысли...
[/offtop]

| Сообщение посчитали полезным:

> автор доклада «Opticode: machine code deobfuscation for malware analysts», давал дельные практические советы

Видали мы их дельности, эти старые пердуны пытаются матан прикрутить туда, где он не нужен, для самопиара,

http://link.springer.com/journal/volumesAndIssues/11416

| Сообщение посчитали полезным:

dosprog пишет:
Универсальный деобфускатор это нонсенс.

Тут моё мнение в корне отличается, я всё-таки думаю что написать абсолютный деобфускатор возможно, и когда-нибудь он будет написан.
Я думаю это будет похоже на написание VHDL модели проца, ответственной за декодирование и исполнение инструкций, то есть попытаться сделать такой разбор инструкций на микрооперации, как это сделано в самом проце самими инженерами Интел.

По поводу "пердунов"-"школьников", возможно трудности с которыми они столкнулись при написании инструмента не такие уж и тривиальные )

| Сообщение посчитали полезным: